V2G网络的安全和隐私问题研究

张雄，张海春，刘政林

V2G网络的安全和隐私问题研究

张雄1，张海春2，刘政林2

（1.华中科技大学中欧清洁与可再生能源学院，湖北 武汉 430074；2.华中科技大学光学与电子信息学院，湖北 武汉 430074）

汽车充放电网络（Vehcle to Grid, V2G）能够实现新能源电动汽车到智能电网之间的双向能源流动和信息通信，是智能电网的重要一环。文章描述了V2G网络的安全和隐私威胁及需求，分析了一些常见的V2G网络攻击方式，最后提出了新的安全策略来支持V2G网络，包括匿名认证、环签名、消息机密性和完整性认证。

智能电网；V2G；信息安全；隐私；匿名认证

前言

智能电网是将传统电网转变为未来“能源互联网”的下一代电网[1]，集成了通信技术、信息技术和传感测量技术。它可以实现对各设备、组成部分的智能调度和控制，以达到系统最优化运行[2]。汽车接入电网（Vehicle to Grid, V2G）是智能电网的一项重要的能源和网络服务，是电网与交通系统集成的典型应用[3]。将汽车接入电网的主要目的是为汽车充电，电动汽车可以选择向电网注入电力，汽车接入电网支持跨电网和电动汽车的通信和能量双向流动，它在电动汽车与电网之间双向传递产生大量信息数据，这些数据可用于提供需求负荷预测、价格预测、最优能耗调度、备用电力等有价值的服务[3]。V2G通信网络不同于其他传统网络，它的信息交换控制着配电网中的物理组件，信息或网络安全威胁可能导致关键电力基础设施的故障或损坏。V2G系统中存在的安全和隐私方面的挑战将极大地影响下一代汽车接入电网技术的实际应用[4]。

V2G网络的安全和隐私问题已有相关研究人员广泛研究。Saxena等人[4]提出了一种新的网络安全和隐私保护架构来支持V2G网络。Eizaet[5]等人通过结合无证书公钥加密和限制性部分盲签名技术，提出了一种安全且隐私敏感的代理移动IPv6协议，既保证了电动汽车的位置隐私，又保持了电动汽车与充电服务之间的会话连续性。Yang等人[6]讨论了V2G网络中一种精确的奖励方案，使用基于身份的限制性部分盲签名技术在他们的方案中生成许可，确保验证者不能通过许可证链接电动汽车的真实身份。但是该方案后来被证明是不安全的，其中使用的基于身份的限制性部分盲签名生成的许可证很容易被伪造[7]。Abdallah等人[8]提出了一种针对V2G连接的隐私保护认证方案，利用哈希函数和位异或操作，设计了一个健壮的密钥协商协议，在V2G环境中实现了相互认证。

但是，目前还没有研究系统性地分析解决V2G网络的安全性和隐私性问题。为此，在本文中我们描述了V2G网络中的隐私和安全威胁以及挑战，分析了网络中存在的常见的攻击方式，最后提出了针对性的隐私和安全防护策略。

1 汽车充放电网络

电动汽车充放电网络的主要思想是将电动汽车的蓄电池组作为储能源，通过先进的信息和通信技术实现电动汽车与智慧电网间的能源流动。V2G利用大量的电动汽车储能源作为智慧电网的缓冲能源，当电网的负荷比较高时，电动汽车将多余的电能反馈给电网；当电网负荷比较低时，大量电动汽车的电池组可用来存储电网多余的电能，借助这种方式，可以有效地对电网起到“削峰填谷”的作用，还可以为电动汽车用户带来一定的利益[9]。

网可以通过V2G网络与电动汽车建立双向的信息流通信，实现电动汽车与电网之间实现双向可控的电力流交换。充放电的通信网络如图1所示，包括电网控制中心通过汇聚单元与充电桩间的通信，充电桩与电动汽车的通信和它们在可信中心的认证通信三部分。充电桩对电动汽车的电压、电流、充放电状态以及电池温度等信息实时采集，并将采集到的信息数据上传给电网控制调度中心，控制中心对接收到的数据进行分析和处理，根据分析结果过对充电桩下达控制命令，实现电动汽车双向可控制的与电网进行电力流交换，可信中心负责三者之间的可信认证[10]。具体如下：

电网控制中心（Grid Control Center, GCC）负责发布整个电网的实时电力需求和电价等相关信息，同时对电动汽车的实时状态、位置信息以及电池使用情况等进行监测，根据监控的数据和电网的自身相关需求制定出最优的控制策略等。

可信中心（Central Authority, CA）是一个完全可信的第三方机构，如电力监管部门，它主要负责整个系统的安全基础，一般假定CA可以完全被网络中的其他实体信任，具有较高的安全级别。

汇聚单元（Aggregator, AG）充电桩与上层电网控制中心之间的通信媒介，负责对电动汽车的充/放电操作和状态进行监测，并上传给电网控制中心，传达电网控制中心的调度命令，完成电动汽车的有序充放电操作。

充电桩（Charging Spot, CS）负责电动汽车与汇聚单元之间的数据交换。对电动汽车进行充放电的实时转状态进行监测，并将相关信息上传给控制中心，根据策略实现对电动汽车充电/放电的控制。

电动汽车（Electric Vehicle, EV）具有双向能源交易能力的电动汽车，有助于维持智能电网的稳定性，它们可以作为能源生产者，在高峰时间给电池充电，还可以在非高峰时间充电，充当能源消耗者的角色。

V2G通信网络与现有的其他通信网络有很多不同之处，比如车辆的移动性、车辆的地理位置、充放电作业、行驶方式、有限的通信范围等。在安全方面，V2G网络中的认证需要快速高效，才能支持大量预计将参与动态充放电的电动汽车。需要保护车辆身份、车型、充放电时间、充电站身份等保密信息。电动汽车可以通过分布式或集中式V2G网络与智能电网通信，从电网向电网充放电。

图1 电动汽车充放电网络架构

2 隐私和安全威胁

本节更详细地描述了V2G网络的各种隐私和安全威胁，包括网络中的各种安全攻击、身份跟踪、获取位置信息等。

2.1 隐私威胁

用户享有有关能源消耗的隐私信息包括用户的身份、车辆日用电量、位置等，具体包括：

（1）身份隐私。包括电动汽车用户的真实身份信息，包括用户的姓名、家庭住址、身份证号、驾驶证号等。电网需要对身份信息进行验证以保证为用户提供个性化的服务。

（2）位置隐私。电动汽车的位置等相关信息，如果攻击者获得相关的位置隐私，就可以通过跟踪监视用户的行为，轻易地获知其他敏感信息。

（3）电池状态隐私。包括电动汽车电池的电压、电量、使用状态等信息。攻击者可以根据电池状态推断出用户的用电喜好、生活习惯，甚至是用户位置及个人身份等隐私信息。

受损害的汇聚中心可以检索车辆的信息，并通过将信息传递给攻击者而滥用该信息。汇聚中心还可以跟踪特定车辆的信息，比如充电站的位置以及车辆在充电站停留了多长时间。如果汽车经常在特定充电站充电或放电，也可以追踪车主的计时模式。对充放电操作的选择和每辆车电池的将私人信息泄露给汇聚中心，攻击者可以检索这些信息并存储用户历史记录。

2.2 安全威胁

攻击者可能会对V2G网络进行攻击，如窃听和重放攻击、假冒攻击、中间人攻击、基于流量的DoS攻击等，以下场景描述了V2G网络中不同类型的攻击，探讨电动汽车充放电网络组件上的几种典型攻击向量。

2.2.1窃听和重放攻击

攻击者在电动汽车和充电桩通信链路间以监听抓包等方式手段获取通信数据，造成汽车身份、位置和电池状态数据等隐私数据泄露。同时攻击者可以拦截、注入或重新发送以前发送的消息，以便执行重放攻击，这可能导致电动车注册身份被盗用或伪造凭证以获取其他电动车用户获取充电服务。

图2 窃听和重放攻击

2.2.2假冒攻击

如果攻击者知道受害者电动汽车或汇聚器的身份或会话密钥，它就可以执行假冒攻击。攻击者可以假冒车辆，使用伪造的身份生成消息的散列，代表受害车辆将完整的消息发送到各自的充电桩。攻击者也可以假冒充电桩，向车辆发送伪造信息。

图3 假冒攻击

2.2.3中间人攻击

中间人攻击是一种对通信链路的间接攻击方式，将攻击者置于通信链中，嗅探、伪造以及篡改通信数据。如果车辆或充电桩的私钥被泄露，或者源实体的身份和签名没有得到验证，攻击者可以生成共享密钥。作为攻击者可以假冒充电桩，窃取车辆提供的信息，然后使用这些信息从合法的充电桩访问系统。

图4 中间人攻击

2.2.4基于流量的DoS攻击

攻击者向汇聚器发送大量的充电或放电请求，建立半开的连接，拒绝完成连接，最终耗尽汇聚器的网络资源，这将导致充电站无法为需要电力服务的合法车辆提供充放电服务，即充电站瘫痪。

图5 基于流量的DoS攻击

3 V2G网络安全目标

3.1 隐私安全目标

根据以上分析，当电动汽车接入充电站时，必须保护电动汽车的隐私，所提出的解决方案必须满足V2G网络中的以下隐私目标：

（1）身份匿名。车辆的身份不应该被披露，因为不受信任的聚合者也可以接收车辆的信息，并通过将信息传递给攻击者来滥用信息。

（2）车辆不可追溯性。策略应保持车辆不可追溯性，使攻击者无法区分两条不同的消息（带有伪身份和车辆位置、电池状态、选择带时间信息的充放电）是来自同一辆车还是来自两辆不同的车辆。如果对手不能以高于随机猜测的概率猜出正确的车辆，则策略满足不可追溯性。

3.2 认证安全目标

提出的防护策略必须满足V2G网络的以下安全目标：

（1）相互认证。V2G网络必须提供车辆与汇聚中心或注册机构之间的相互认证，此过程有助于保护网络免受仿冒攻击和中间人攻击。充电站的车辆必须能够安全地与聚合器通信，任何假冒或恶意的车辆都不能连接到充电站进行充放电操作。

（2）信息机密性。机密性V2G网络的强制性目标，私人信息必须是秘密的或隐藏的，以便为传输信息提供机密性，加密用于为消息提供机密性。

（3）消息完整性。保证V2G网络中所有传输消息的完整性。对于每个发送的消息，都需要验证在消息传输过程中是否发生了任何违规行为。

4 V2G网络安全和隐私防护策略

下面详细描述了防护V2G网络安全性和隐私性方面的策略。

4.1 匿名认证

V2G网络的安全需求不同于典型的认证系统，必须要求对车辆进行匿名认证，保护车辆的个人隐私信息。该网络必须保持身份匿名性和不可跟踪性属性，只有认证服务器知道并验证车辆的实际身份，但通信服务器和充电设施等中间实体并不知道。车辆验证的一种选择是使用可信的第三方，向可信的用户提供充放电服务，然而第三方可能会受到外部或恶意的内部操作人员的威胁。

由此我们选择匿名认证策略，匿名认证可以使用各种技术来实现，如环签名、盲签名方案和部分盲签名方案。V2G网络中的电动汽车本质上是动态的，很多车辆经常离开和加入网络。因此，在每个不同的地理区域组成一个动态组可以处理这种情况。一旦形成一个动态组，会生成一个初始密钥进行认证，使得车辆可以加入和离开网络。为了在不影响其他车辆参与的情况下保持键的独立性，需要保证组结构的改变会准确地改变相应的组键。匿名可以确保汇聚器无法知道车辆的身份，而只是验证车辆是否属于一个经过授权的车辆组。

4.2 环签名

为了在对消息进行签名时保护车辆身份，可以采用环签名策略。环签名允许充电设施轻松地验证签名属于一组注册车辆中的某一辆，但是充电设施不能识别到消息签名的实际车辆信息。环签名可用于充电站为大量车辆提供服务的情况。在一个大的队列中，可以形成数量有限的少数群体，车辆使用群组中所有成员车辆的有序公钥创建环签名。环签名没有组管理员、没有设置和撤销过程、没有协作，不需要任何可信的授权。在V2G网络中生成环签名时，任何车辆都可以选择任意数量的可能签名者车辆（包括自己），使用自己的密钥和其他车辆的公钥对消息进行签名，甚至不需要得到其他车辆的批准。对于支持大车辆群的理想群签名方案，群公钥、群私钥和签名的长度与群内车辆数无关。

4.3 同态加密

为了保证在V2G通信网络上传输的消息的安全性，对信息机密性和消息完整性认证提出了很高的要求。同态加密是保护汇聚信息的一种很好的解决方案。它通过将加密消息从车辆传输到汇聚单元来维护端到端的信息机密性。然而，汇聚器不能解密消息信息，而是对从不同车辆接收到的数据执行不同的操作。在V2G网络中，为了维护消息完整性，可以使用散列函数或消息验证功能（MAC）来进行签名和校验。加密和完整性可以通过先加密后验证、先校验后加密或同时加密校验等方式实现。其中，先加密后验证被认为是最安全的模式。

5 结语

本文系统描述了V2G汽车充放电网络在安全性和隐私方面面临的威胁和挑战，由此针对性地提出了相应的安全目标。最后我们通过一系列的防护策略架构来保证V2G网络的安全性和隐私性，包括通过匿名身份验证、环签名来实现隐私性防护，通过同态加密来实现消息保密和完整性防护。上述提出的安全策略为构建更安全、更隐私的智能V2G网络提供了框架，从而使V2G网络中的所有参与者都更不受安全攻击的影响。

[1] 陈树勇,宋书芳,李兰欣,等.智能电网技术综述[J].电网技术,2009, 33(08):1-7.

[2] 董朝阳,赵俊华,文福拴,等.从智能电网到能源互联网:基本概念与研究框架[J].电力系统自动化,2014,38(15):1-11.

[3] 项顶,宋永华,胡泽春,等.电动汽车参与V2G的最优峰谷电价研究[J].中国电机工程学报,2013,33(31):15-25+2.

[4] N.Saxena,S.Grijalva,V.Chukwuka,et al.Network Security and Privacy Challenges in Smart Vehicle-to-Grid[J].IEEE Wireless Communica- tions,2017,24(4): 88-98.

[5] M. H. Eiza, Q.Shi, A.Marnerides, et al.Secure and privacy-aware proxy mobile IPv6 protocol for vehicle-to-grid networks[C].IEEE International Conference on Communications (ICC),2016:1-6.

[6] Yang Z, Yu S, Lou W, et al.Privacy-Preserving Communication and Precise Reward Architecture for V2G Networks in Smart Grid[J]. Ieee Transactions on Smart Grid,2011,2(4):697-706.

[7] Hu X,Huang S.Analysis of ID-based restrictive partially blind signa- tures and applications[J].Journal of Systems and Software,2008, 81 (11):1951-1954.

[8] Abdallah A,Shen X.Lightweight Authentication and Privacy- Preser- ving Scheme for V2G Connections[J].IEEE Transactions on Vehicular Technology,2016:1-1.

[9] 刘晓飞,张千帆,崔淑梅.电动汽车V2G技术综述[J].电工技术学报,2012,27(02):121-127.

[10] 李积强.电动汽车智能充电的信息安全认证机制研究[D].北京:华北电力大学(北京),2017.

Research on Security and Privacy of V2G Network

ZHANG Xiong1, ZHANG Haichun2, LIU Zhenglin2

( 1.China-EU Institute for Clean and Renewable Energy, Huazhong University of Science and Technology,Hubei Wuhan 430074; 2.School of Optical and Electronic Information, Huazhong University of Science and Technology, Hubei Wuhan 430074 )

Vehicle to Grid network (V2G) is an important part of smart grid, which can realize the two-way energy flow and information communication between new energy electric vehicles and smart grids. In this paper, we describe the security and privacy threats and requirements of V2G networks, analyze some common V2G network attacks, and finally put forward new security policies to support V2G networks, including anonymous authentication, ring signature, information confidentiality and integrity authentication.

Smart grid;V2G;Information security;Privacy;Anonymous authentication

U495

A

1671-7988(2021)23-12-04

U495

A

1671-7988(2021)23-12-04

10.16638/j.cnki.1671-7988.2021.023.004

张雄（1997—），男，就读于华中科技大学中欧清洁与可再生能源学院新能源科学与工程专业，研究方向为新能源汽车、V2G网络、车联网安全等。

国家重点研发计划资助项目（2019 YFB1310001）。